Dropbox nutzt mehrere AWS-Sicherheitsservices, um den Schutz seines Signaturservice zu skalieren
2021
Das für Cloud-basierten Dateispeicher und intelligente Arbeitsbereiche bekannte Unternehmen Dropbox erwarb 2019 die elektronische Signatur- und Speicherlösung HelloSign. HelloSign wuchs im Jahr 2021 schnell auf mehr als 80 000 Kunden an und erkannte, wie wichtig es ist, die persönlich identifizierbaren Informationen (PII) sowie die Zahlungskarteninformationen seiner Kunden zu schützen. Um seinen Service sowohl sicher als auch hochverfügbar zu machen, musste das Unternehmen seine Services vor Distributed-Denial-of-Service (DDoS) und anderen Sicherheitsereignissen schützen.
Da das Unternehmen bereits Amazon Web Services (AWS) für viele seiner Infrastrukturanforderungen nutzte, entschied es sich, die Nutzung von AWS auszuweiten, um seinen Sicherheitsstatus zu verbessern. In nur sechs Monaten optimierte HelloSign seine Sicherheit durch den Einsatz einer Reihe skalierbarer, maßgeschneiderter Sicherheitstools von AWS. Darüber hinaus implementierte das Unternehmen Best Practices, beschleunigte die Entwicklung, verbesserte die Reaktionszeit bei Sicherheitsvorfällen und wendete Sicherheitsereignisse ab.
Mithilfe von AWS konnten wir unser Sicherheitsmodell weiterentwickeln und manuelle Prozesse automatisieren. Wir haben pro Jahr etwa eine Million Dollar an Testzeit für Sicherheitsabläufe sowie an Personal- und Lizenzkosten gespart.“
Mark Dorsi
Director of Security, HelloSign
Implementierung einer Suite von AWS-Services
Dropbox ist ein intelligenter Arbeitsbereich mit Funktionen zum Synchronisieren und Teilen von Dateien, um Arbeitsabläufe zu optimieren. Durch den Erwerb von HelloSign können Dropbox-Kunden Dokumente nun online versenden, signieren und speichern, ohne Dropbox zu verlassen. HelloSign beschloss, seinen Sicherheitsstatus zu verbessern. Dazu gehörte unter anderem, Einblicke in die Sicherheit der eigenen Webanwendungen zu gewinnen sowie gespeicherte persönlich identifizierbare Informationen proaktiv zu identifizieren, um zu ermitteln, an welchen Stellen zusätzliche Kontrollen erforderlich sind.
HelloSign strebte eine skalierbare, robuste Option an, bei der keine Daten in eine Drittanbieterlösung ausgelagert werden müssen. Denn dadurch könnten externe Unternehmen unter Umständen Zugang zu persönlich identifizierbaren Informationen erlangen, was wiederum zeitaufwendige Sicherheitsüberprüfungen erfordern würde. HelloSign vertraute bei seiner Infrastruktur bereits auf AWS und speicherte verschlüsselte Daten mithilfe von Amazon Simple Storage Service (Amazon S3) – ein Objektspeicher für den Abruf beliebiger Datenmengen von jedem Ort aus. Anstatt Sicherheitsservices nach und nach einzuführen, integrierte HelloSign in kürzester Zeit eine Reihe von AWS-Sicherheitsservices in seinen internen Workflow.
Verbesserung des Sicherheitsstatus in AWS
Die erste Ebene der Sicherheitslösung von HelloSign bildet Amazon Macie – ein vollständig verwalteter Datensicherheits- und Datenschutzservice mit Machine Learning und Musterabgleich zur Erkennung und zum Schutz von vertraulichen Daten in Amazon-S3-Buckets. Amazon Macie ist skalierbar und erfordert keine Auslagerung von Daten an Dritte. Beim Schwachstellenmanagement setzt HelloSign auf Amazon Inspector. Dieser Service untersucht in AWS bereitgestellte Anwendungen auf Schwachstellen und sucht nach unbeabsichtigten Netzwerkzugriffsmöglichkeiten, um die Sicherheit und Compliance zu verbessern. „Wir nutzen die Ergebnisse von Amazon Inspector im Rahmen unseres Automatisierungsprozesses für die Patch-Verwaltung und können dadurch viel Zeit und Ressourcen bei der Aktualisierung unserer Software und Systeme sparen“, erklärt Kirtika Dommeti, Senior Security Engineer bei HelloSign. Zur Verbesserung der Sicherheitstransparenz nutzt HelloSign Amazon GuardDuty. Hierbei handelt es sich um einen Service zur Erkennung von Bedrohungen, der die Umgebung kontinuierlich auf böswillige Aktivitäten und unbefugtes Verhalten überwacht, um AWS-Konten, Workloads und in Amazon S3 gespeicherte Daten zu schützen. Zum besseren Verständnis der Ursache von Sicherheitsergebnissen aus Amazon GuardDuty evaluiert das Unternehmen derzeit Amazon Detective. Dieser Service nutzt Machine Learning, statistische Analysen und Graphentheorie, um einen verknüpften Datensatz zu erstellen, mit dem Benutzer mühelos schnellere und effizientere Sicherheitsuntersuchungen durchführen können.
Zur Überwachung des AWS-Sicherheitsstatus und zur Erstellung entsprechender Berichte nutzt HelloSign AWS Security Hub. Dieser Service fasst alle von ihm gewonnen Sicherheitserkenntnisse zusammen und überprüft den Einsatz bewährter Sicherheitsmethoden in der gesamten AWS-Bereitstellung. Dieser umfassende Blick auf Sicherheitswarnungen und den Sicherheitsstatus trägt zur Unterstützung der Compliance bei. HelloSign nutzt beispielsweise Amazon Macie für die Erkennung von persönlich identifizierbaren Daten und Zahlungskarteninformationen sowie die umfassenden Sicherheitsstatusprüfungen von AWS Security Hub, um CIS-Benchmarks (Center for Internet Security) und den Payment Card Industry Data Security Standard zu erfüllen.
HelloSign verwaltet die Erkenntnisse mithilfe einer proprietären Verarbeitungslogik sowie mithilfe von Services wie AWS Lambda (ein Serverless-Compute-Service mit dem Benutzer Code ausführen können, ohne Server bereitzustellen oder zu verwalten) und Amazon DynamoDB (eine Schlüssel-Wert- und Dokumentdatenbank, die unabhängig vom Umfang eine Leistung im einstelligen Millisekundenbereich bietet). Die internen Teams von HelloSign behandeln dann alle Probleme über den Ticket- und Vorfallreaktions-Workflow des Unternehmens.
Behandlung von Sicherheitsaspekten für Webanwendungen
Zur Behandlung von Sicherheitsereignissen in Webanwendungen verwendet das Unternehmen AWS Web Application Firewall (AWS WAF). Dieser Service schützt Webanwendungen und APIs vor verbreiteten Webangriffen sowie vor Bots, die die Verfügbarkeit oder die Sicherheit beeinträchtigen bzw. zu einer übermäßigen Ressourcenauslastung führen können. Mithilfe von AWS WAF kann HelloSign den Datenverkehr filtern, bevor er die Webserver des Unternehmens erreicht. Dadurch kann HelloSign Vorfälle in nur 15 bis 30 Minuten behandeln, Regeln anpassen, die gängige Muster von Sicherheitsereignissen proaktiv blockieren, und geografische oder länderspezifische Sperren auf Gebiete anwenden, für die US-Sanktionen gelten. Dank AWS WAF konnte HelloSign 12 DDoS-Sicherheitsereignisse und andere Sicherheitsbedrohungen abwenden, die das System des Unternehmens andernfalls zum Erliegen gebracht hätten. HelloSign verwendet auch AWS Shield Advanced. Hierbei handelt es sich um einen verwalteten DDoS-Schutzservice zum Schutz von Anwendungen, die in AWS ausgeführt werden. Für Ressourcen, die mit AWS Shield Advanced geschützt werden, erhalten Kunden AWS WAF und AWS Firewall Manager (ein Service zur Sicherheitsverwaltung) ohne zusätzliche Kosten. „Nun können wir intelligente Entscheidungen treffen und ermitteln, welche Kunden von woher kommen“, sagt Kirtika Dommeti.
HelloSign hat seinen Authentifizierungsprozess mithilfe von AWS Single Sign-On (AWS SSO) verbessert. Dieser Service ermöglicht eine einfache und zentrale Verwaltung des Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen und bietet Benutzern zentralen SSO-Zugriff auf alle ihnen zugewiesenen Konten und Anwendungen. Die Automatisierung von Sicherheitsfunktionen innerhalb von drei Monaten hat den Workflow optimiert und zeitaufwendige Aufgaben reduziert. Insgesamt haben diese Maßnahmen die Effizienz gesteigert und HelloSign rund 120 Arbeitsstunden pro Woche gespart. „Da die Services intuitiv sind, konnten wir sie mühelos in Betrieb nehmen und neues Personal problemlos in die Verwaltung der Services einführen“, erklärt Kirtika Dommeti.
Weitere Effizienzsteigerungen
Informationen zu Dropbox
Vorteile von AWS
- 12 DDoS-Sicherheitsereignisse abgewendet
- Etwa 120 Stunden Arbeitszeit pro Woche durch Automatisierung eingespart
- Einblick in den Sicherheitsstatus gewonnen
- Bewährte Sicherheitsmethoden implementiert
- Sicherheitstools angepasst
- Sicherheitsfunktionen innerhalb von drei Monaten automatisiert
Genutzte AWS-Services
Amazon Macie
Amazon Macie ist ein vollständig verwalteter Datensicherheits- und Datenschutzservice mit Machine Learning und Musterabgleich zur Erkennung und zum Schutz von vertraulichen Daten in AWS.
AWS Shield Advanced
AWS Shield ist ein verwalteter DDoS-Schutzservice (Distributed Denial of Service), der Anwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet eine ständig aktive Erkennung sowie automatische Inline-Behandlungen zur Minimierung der Ausfall- und Wartezeiten von Anwendungen, damit der AWS-Support nicht eingeschaltet werden muss, um vom DDoS-Schutz zu profitieren.
Amazon GuardDuty
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads kontinuierlich auf böswillige Aktivitäten überwacht und detaillierte Sicherheitsergebnisse für Transparenz und Abhilfe liefert.
AWS Security Hub
AWS Security Hub ist ein Verwaltungsservice für den Cloud-Sicherheitsstatus, der das Überprüfen von bewährten Methoden automatisiert, Warnung aggregiert und die automatische Fehlerbehebung unterstützt.
Erste Schritte
Organisationen aller Größen aus verschiedenen Sektoren transformieren ihre Unternehmen und erfüllen ihre Missionen täglich mithilfe von AWS. Kontaktieren Sie unsere Experten und begeben Sie sich noch heute Ihren Weg zu AWS.